Blocking main page to steal postmessage

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

Winning RCs with Iframes

이 Terjanq writeup에 따르면, null origin에서 생성된 blob 문서는 보안상의 이점으로 격리되어 있으며, 이는 메인 페이지를 바쁘게 유지하면 iframe 페이지가 실행된다는 것을 의미합니다.

기본적으로 이 도전에서 격리된 iframe이 실행되고, 로드된 직후 부모 페이지가 플래그와 함께 post 메시지를 전송합니다.
그러나 그 postmessage 통신은 XSS에 취약합니다( iframe이 JS 코드를 실행할 수 있습니다).

따라서 공격자의 목표는 부모가 iframe을 생성하게 하되, 부모 페이지가 **민감한 데이터(플래그)**를 전송하기 전에 바쁘게 유지하고 payload를 iframe으로 전송하는 것입니다. 부모가 바쁠 때 iframe은 payload를 실행하며, 이는 부모 postmessage 메시지를 듣고 플래그를 유출하는 JS가 될 것입니다.
마지막으로, iframe은 payload를 실행하고 부모 페이지는 바쁘지 않게 되므로 플래그를 전송하고 payload가 이를 유출합니다.

그렇다면 부모가 iframe을 생성한 직후에 민감한 데이터를 전송하기 위해 iframe이 준비되기를 기다리는 동안 어떻게 바쁘게 만들 수 있을까요? 기본적으로 부모가 실행할 수 있는 비동기 작업을 찾아야 합니다. 예를 들어, 이 도전에서 부모는 다음과 같이 postmessages를 듣고 있었습니다:

window.addEventListener("message", (e) => {
if (e.data == "blob loaded") {
$("#previewModal").modal()
}
})

그래서 postmessage에서 큰 정수를 보내는 것이 가능했으며, 이는 그 비교에서 문자열로 변환될 것이고, 시간이 좀 걸릴 것입니다:

const buffer = new Uint8Array(1e7);
win?.postMessage(buffer, '*', [buffer.buffer]);

정확하게 전송하고 postmessage를 iframe이 생성된 후에, 그러나 부모로부터 데이터를 받을 준비가 되기 전에 하려면, setTimeout의 밀리초를 조정해야 합니다.

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.